Сервис RAUM заражает малварью торрент-файлы

Исследователи из компании InfoArmor опубликовали интересный отчет, в котором рассказали об обнаружении целой киберпреступной сети. При помощи сервиса RAUM преступники добавляют пейлоады малвари в популярные торрент-файлы и автоматизируют их распространение. Исследователи предполагают, что за созданием RAUM стоит хакерская группа Black Team из Восточной Европы.

Сервис RAUM работает по модели Pay-Per-Install (PPI, плата за каждую установку) и попасть туда можно лишь по специальному приглашению, заплатив взнос и пройдя серьезную проверку. Модель PPI подразумевает, что клиенты RAUM получают деньги каждый раз, когда малварь, которую они распространяют с помощью вредоносных торрентов, доходит до «конечного адресата», то есть поражает очередную жертву.

Контрольная панель RAUM

По данным InfoArmor, создатели RAUM используют сложную систему мониторинга, чтобы следить за тенденциями закачек на самых популярных в мире трекерах (The Pirate Bay, ExtraTorrent и так далее). Злоумышленники тщательно отслеживают последние тренды в области видео, аудио и софта по всему миру, и, опираясь на них, создают на трекерах вредоносные раздачи, якобы с наиболее востребованными на данный момент фильмами, сериалами или музыкой.

Панель управления вредоносными торрентами

Для распространения малвари злоумышленники используют фейковые или взломанные аккаунты, данные о которых порой извлекаются из логов ботнетов или приобретаются у «коллег».

Эксперты отмечают, что срок жизни таких раздач порой составляет полтора месяца и более, что приводит к тысячам успешных скачиваний и заражений.Те же аккаунты используются для набора репутации на трекерах и для накрутки популярности вредоносных раздач.

Данные о популярных торрент-файлах

Изначально для распространения файлов злоумышленники использовали клиент uTorrent, но затем перешли к другой модели поведения. Теперь процесс автоматизирован, и за распространение малвари отвечает специализированная инфраструктура, частично расположенная в Tor и состоящая из выделенных и виртуальных серверов, а также скомпрометированных девайсов.

Устройство RAUM

RAUM предоставляет своим клиентам удобную систему для создания вредоносных торрентов и даже подсказывает, какие торрент-файлы являются наиболее популярными на данный момент. По данным InfoArmor, наиболее привлекательны для преступников торренты-файлы с различными онлайновыми играми, а также файлами активации для Microsoft Windows и Mac OS.

Специалисты InfoArmor пишут, что RAUM может использоваться для распространения таких вредоносов, как банковский троян Dridex, спайварь Pony, или вымогатели Cerber, CryptXXX и CTB-Locker. По информации компании, ежемесячно из-за вредоносных торрентов страдают не менее 12 млн пользователей.